Cross Site Request Forgery (CSRF oder XSRF) ist eine Angriffsart, bei der der Hacker die Kontrolle über den Browser seines Opfers übernimmt und sich als autorisierter Benutzer ausgibt.
Sobald sich dieser bei einer Website eingeloggt hat, agiert er in dessen Namen indem er beispielsweise bösartige Anfragen an die Web-Applikation stellt. Die CSRF-Attacken werden auch als "Session Riding" oder "One Click Attacks" bezeichnet.
CSRF-Attacken können beispielsweise dazu benutzt werden, um Einstellungen von Firewalls zu verändern, nicht autorisierte Daten zu versenden oder betrügerische Transaktionen vorzunehmen. Gefährdete Benutzer wissen nichts von den entsprechenden Angriffen. Wenn er überhaupt etwas von den Angriffen mitbekommt, dann erst nachdem der Schaden bereits entstanden ist.
CSRF-Angriffe werden ausgeführt indem der Angreifer die Identität des Benutzers ausspioniert und mit dessen Identität den Webserver hackt. Ein solcher Angriff kann auch über eine HTTP- Anfrage erfolgen, die der Benutzer mit seinen sensitiven Daten beantwortet.